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Bescheinigung 



Die ROBERT BOSCH GMBH in Stuttgart/Deutschland hat eine 
Patentanmeldung unter der Bezeichnung 

"System zur Kontrolle der Zugangsberechtigung" 

am 11. Dezember 1997 beim Deutschen Patent- und Markenamt 
eingereicht . 

Die angehefteten Stiicke sind eine richtige und genaue 
Wiedergabe der ur sprung lichen Unterlagen dieser Patent- 
anmeldung . 

Die Anmeldung hat im Deutschen Patent- und Markenamt vor- 
laufig die Symbole E 05 B, G 07 C und B 60 R der interna - 
tionalen Patentklassif ikation erhalten. 

Miinchen, den 8. Dezember 1998 
Deutsches Patent- und Markenamt 
^ Der President 
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Stand der Technik 

Die Erfindung geht aus von einem System zur Kontrolle der 
Zugangsberechtigung nach der Gattung des unabhangigen 
Anspruchs. Aus der DE 44 28 947 CI ist bereits eine 
SchlieSvorrichtung fur ein Kraf tf ahrzeug mit einer 
Betatigungseinrichtung sowie mit einem Transponder bekannt . 
Bei Betatigung eines Senders ist ein 
Fernbetatigungswechselcodewort erzeugbar, das eine 
Decodiereinrichtung empfangt, mit einem in der 
Decodiereinrichtung gespeicherten 

Fernbetatigungswechselcodesignal vergleicht und in 
Abhangigkeit von dem Vergleich ein Entriegelungssignal 
erzeugt. Zur Ernohung der Sicherheit ist daruberhinaus ein 
Transponder vorgesehen, dessen Wechselcodesignal zusatzlxch 
fur eine Freigabe ausgewertet wird. 

Der Erfindung liegt die Aufgabe zugrunde, obengenanntes 
System zu vereinf achen, ohne einen Sicherheitsverlust zu 
erleiden. Die Aufgabe ist durch die kennzeichnenden Merkmale 
des unabhangigen Anspruchs gelost . 



R. 33075 



Das erf indungsgemaSe System zur Kontrolle der 
Zugangsberechtigung umfaBt ein Basisgerat, das ein Codewort 
empfangt. Das Codewort enthalt eine Response, die ein 
Recnner mit einer Sollresponse vergleicht . Eine 
Zugangsberechtigung erfolgt bei Ubereinstimmen von Response 
und Sollresponse. Zumindest eine Fernbedienung sendet das 
Codewort. Das erf indungsgemaBe System zeichnet sich dadurch 
aus, daS in der Fernbedienung eine vom Basisgerat gesendete 
Challenge gespeichert ist zur Generierung des Codeworts. 
Diese Challenge ist identisch mit derjenigen eines bereits 
in der Vergangenheit erfolgreich durchgefuhrten Challenge- 
Response-Verf ahrens . Die Challenge gibt somit einen Hinweis 
auf eine Berechtigung der Fernbedienung. Dadurch werden 
Manipulationsmoglichkeiten eingeschrankt . Andererseits ist 
fur den Start einer Zugangsberechtigungsprozedur ein 
erneutes bidirektionales Challenge-Response-Verf ahren nicht 
mehr notwendig, da die Challenge bereits in dem Speicher der 
Fernbedienung hinterlegt ist. Auf diese Weise laSt sich das 
Codewort bereits mit einer grofieren Reichweite an das 
Basisgerat senden, wahrend die Challenge-Response-Prozedur 
nur im Nahbereich durchgefuhrt werden kann. Damit ist eine 
Entkopplung zwischen bidirektionaler Datenubertragung und 
unidirektionaler Datenubertragung gewahrleistet . In der 
Fernbedienung ist lediglich ein Sender groSerer Reichweite 
vorzusehen, nicht jedoch ein entsprechender Empfanger fur 
den Fernbereich. Die Challenge kann zur Synchronisation 
zwischen Basisgerat und Fernbedienung verwendet werden. 
Zudem sind weder im Basisgerat noch in der Fernbedienung dxe 
fur die Zugangsberechtigung unmittelbar maSgebliche Response 
bzw. Sollresponse abgespeichert . so dafi der direkte Zugriff 
auf diese sicherheitsrelevanten Inf ormationen nicht moglich 
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in einer zweckmaSigen Weiterbildung ist die Sollresponse in 
Abhangigkeit von einer in der Fernbedienung hinterlegten und 
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im Codewort enthaltenen Kennung gebildet. Dadurch wird eine 
eindeutige Zuordnung zwischen der verwendeten Fernbedienung 
und der zugehorigen, im Basisgerat abgelegten 
Verschlusselung erreicht. Die eindeutige Zuordnung 
gewahrleistet eine hinreichend hohe Sicherheit gegen 
unberechtigte Manipulationsversuche . Dadurch kann der 
Algorithmus , der in der Fernbedienung die gespeicherte 
Challenge - beispielsweise unter Verwendung einer 
f ernbedienungsspezif ischen Kennung - zu einer Response 
verschlusselt, einfach ausf alien und in einem 
Microcontroller integriert sein. 

In einer Ausgestaltung wird die im Basisgerat hinterlegte 
Challenge nach einer vorgegebenen Zahl fehlender 
Ubereinstimmungen von Response und Sollresponse geloscht . 
Damit ist bei einer Anzahl mifilungender Of fnungsversuche 
gewahrleistet, dafi eine Zugangsberechtigung bei weiterem 
Probieren nicht mehr erfolgt. Ein erneuter Of f nungsversuch 
ist nur in Verbindung mit einem erfolgreich durchlauf enden 
Challenge -Response -Verfahren zuzulassen. Bei Scheitern der 
Zugangsberechtigung uber das unidirektionale Protokoll 
werden die Sicherheitsanf orderungen erhoht, indem ein Zugang 
nur in Verbindung mit dem komplexen bidirektionalen 
Protokoll erreicht werden kann. 

Eine vorteilhafte Ausgestaltung sieht vor, dafi im Codewort 
ein Zahlercode enthalten ist, der von dem Basisgerat mit 
einem Referenzcode verglichen wird. Nur bei einer Abweichung 
erfolgt eine Zugangsberechtigung. Der Zahlercode wird mit 
der Betatigung eines Bedienelements der Fernbedienung 
verandert. Ein Senden des eben abgehorten Codeworts lost 
keine Zugangsberechtigung aus . Im Codewort kann der 
Zahlerstand sowohl unverschlusselt als auch verschlusselt 
vorhanden sein. 
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Als Ref erenzcode ist ein gesendeter Code verwendet . Eine 
separate Zahlerf unktion im Basisgerat ist hierfiir nicht 
vorzusehen . 

ZweckmaSig erfolgt die Ubertragung des Codeworts 
hochf requent und die Ubertragung der Challenge 
niederf requent . Aufgrund der gespeicherten Challenge 
benotigt die Fernbedienung keinen Empfanger im 
Hochf requenzbereich . 

Weitere zweckmaSige Weiterbildungen ergeben sich aus 
weiteren abhangigen Anspruchen und aus der Beschreibung . 



Zeichnung 



Zwei mogliche Aus fiihrungsbei spiel e eines erf iridungsgemafcen 
Systems zur Kontrolle der Zugangsberechtigung sind in der 
Zeichnung dargestellt und in der nachf olgenden Beschreibung 
naher erlautert. Es zeigen die Figuren 1 und 2 ein 
Blockschaltbild und eine Zugangsberechtigungsprozedur eines 
ersten Aus fuhrungsbei spiels , die Figuren 3 und 4 ein 
Blockschaltbild und eine Zugangsberechtigungsprozedur eines 
zweiten Ausf uhrungsbeispiels . 

Beschreibung 

Mehrere Fernbedienungen Fl, ... Fx, ... Fn kommunizieren mit 
einem Basisgerat BG, das einen Sender/Empf anger 12 und einen 
Rechner 16 urafafit. Der Rechner 16 tauscht Daten aus mit dem 
Sender/Empfanger 12 und hat Zugriff auf im Speicher 
hinterlegten Challenges CI, . . . Cx, ... Cn, Kennungen Kl, 

Kx, Kn und einen Grenzwert G. Exemplarisch ist der 

Aufbau der x-ten Fernbedienung Fx gezeigt . Ein 
Fernbedienungsrechner 20 hat Zugriff auf die im Speicher 
hinterlegte Kennung Kx und Challenge Cx. Er gibt Daten an 
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den Sender 22 ab und tauscht Daten aus mit einem 
Fernbedienungs-Sender/Empf anger 26. Der von einem 
Bedienelement 24 beeinflufite Signalzustand ist dem 
Fernbedienungsrechner 2 0 zugefuhrt . 

Das zweite Ausf uhrungsbeispiel gemafi Figur 3 unterscheidet 
sich von dem ersten Ausf uhrungsbeispiel gemaS Figur 1 
dadurch, daS in dem Basisgerat BG anstelle des Grenzwerts G 
ein Speicher fur einen Referenzcode RZ1, . . . RZx, . . . RZn 
vorgesehen ist. Die Fernbedienung Fx weist ein zusatzliches 
Feld fur einen Zahlercode Zx auf . 

Im folgenden wird die Funktionsweise des in Figur 1 
dargestellten ersten Ausf uhrungsbeispiels naher erlautert. 
In dem Basisgerat BG ist fur jede Fernbedienung Fl, ... Fx, 
. . . Fn eine entsprechende Kennung Kl, ... Kx, . . . Kn 
hinterlegt. Dadurch kann das Basisgerat BG jede einzelne 
Fernbedienung Fx bzw. jede Fernbedienungsgruppe Fx - wenn 
beispielsweise einer Kennung Kx mehrere Fernbedienungen Fx 
zugeordnet sind - eindeutig identif izieren . Diese Kennungen 
Ki, ... Kx, . . . Kn konnen die entsprechenden Speicherplatze 
sein beziehungsweise anhand des Speicherplatzes erkannt 
werden. Im Challenge-Response-Verf ahren sendet das 
Basisgerat die Challenge Cx an die durch die Kennung Kx 
eindeutig zugeordnete Fernbedienung Fx. Ein Zuf allsgenerator 
erzeugt diese Challenge Cx. Der Rechner 16 speichert die 
gesendete Challenge Cx in einem uber die Kennung Kx 
addressierten Speicherplatz . Der Fernbedienungsrechner 20 
legt die vom Basisgerat BG zuletzt gesendete Challenge Cx in 
einem Speicher ab . 

Der Benutzer startet die unidirektionale Kommunikat ion der 
Fernbedienung Fx mit dem Basisgerat BG, indem er das 
Bedienelement 24 betatigt, Schritt 101. Der 
Fernbedienungsrechner 20 verknupft die im Speicher 
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hinterlegte Challenge Cx unter Verwendung einer fur die 
spezielle Fernbedienung Fx f ernbedienungsspezif ischen 
Information mit einem Algorithmus, woraus die Response Rx 
entsteht. Als f ernbedienungsspezif ische Information ist 
beispielsweise ein Teil der Kennung Kx, ein in der 
Fernbedienung Fx fest hinterlegter Herstellercode verwendet . 
Wesentlich ist jedoch, daS diese Verschliisselung, das heifit 
Algorithmus und f ernbedienungsspezif ische Inf ormationen, der 
Challenge Cx fur jede Fernbedienung Fx auch im Basisgerat BG 
bekannt und hinterlegt ist. In dem Codewort CWx sind die 
Kennung Kx und die Response Rx, gegebenenf alls entsprechende 
Aufweck- und Aktionsbef ehle , enthalten. Der Sender 22 sendet 
das Codewort CWx an das Basisgerat BG, Schritt 103. Der 
Rechner 16 filtert aus dem empfangenen Codewort CWx die 
Kennung Kx. Der Rechner 16 wahlt die mit dieser Kennung Fx 
addressierte Challenge Cx und Verschliisselung aus, mit denen 
auch in der Fernbedienung Fx die Response Rx ermittelt 
wurde. Der Rechner 16 berechnet aus der im Basisgerat BG 
hinterlegten Challenge Cx, dem Algorithmus und der 
fernbedienungsspezif ischen Information, also der 
Verschlusselung, die Sollresponse Sx, Schritt 105. Im 
Basisgerat BG werden empfangene Response Rx und berechnete 
Sollresponse Sx verglichen, Schritt 107. Bei Ubereinstimmung 
gibt der Rechner 16 ein entsprechendes Freigabesignal , 
Schritt 109. Andernfalls folgt die Abfrage 111, ob die 
Anzahl der miSlungenen Of f nungsversuche M bereits einen 
vorgebbaren Grenzwert G uberschritten hat. 1st dies der 
Fall, wird kein weiterer Of fnungsversuch zugelassen, Schritt 
113. Zudem wird die im Basisgerat BG gespeicherte Challenge 
Cx geloscht. Eine Zugangsberechtigung kann somit nur durch 
einen erf olgreichen Durchlauf der bidirektionalen Challenge- 
Response -Prozedur , nicht jedoch mit dem beschriebenen 
unidirektionalen Protokoll erreicht werden. Hat die Anzahl 
der miSlungenen Of f nungsversuche M den Grenzwert G noch 
nicht uberschritten, wird die Anzahl M inkrementiert , 
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Schritt 115. Hieran schliefit sich Schritt 105 an, das 
weitere Vorgehen lauft ab wie bereits beschrieben. 

Die Schritte ab 111 erhohen die Sicherheit der 
unidirektionalen Datenubertragung, sind jedoch nicht 
unbedingt erf orderlich . 

Das im folgenden beschriebene zweite Ausfuhrungsbeispiel 
bezieht sich auf die Figuren 3 und 4. Wie bereits fur das 
erste Ausfuhrungsbeispiel ausgefuhrt, ist in der 
Fernbedienung Fx die Challenge Cx gespeichert . In der 
Fernbedienung Fx ist ein Zahlercode Zx gespeichert, der bei 
Betatigung des Bedienelements 24 inkrementiert wird. Fur 
jede Fernbedienung Fx ist in dem Basisgerat BG der zuletzt 
gesendete Zahlercode Zx als Referenzcode RZ1, ... RZx, ... 
RZn hinterlegt. Nach Auslosen des Startvorgangs durch 
Betatigen des Bedienelements 24, Schritt 121, wird in 
Ubereinstimmung mit dem ersten Ausfuhrungsbeispiel die 
Response Rx berechnet . Der Zahlercode Zx wird urn Bins 
erhoht. in dem Codewort CWx ist neben der Response Rx und 
der Kennung Kx der Zahlercode Zx verschlusselt enthalten. 
Der Sender 22 sendet das Codewort CWx an den 
Sender/Empf anger 12, Schritt 123. Wiederum filtert der 
Rechner 16 aus dem empfangenen Codewort CWx die Kennung Kx, 
anhand derer er den der Fernbedienung Fx zugehorigen 
Referenzcode RZx ausliest, Schritt 125. Nachfolgend wird der 
Zahlercode Zx mit dem Referenzcode RZx verglichen, Schritt 
127. Da in dem Basisgerat BG der zuletzt gesendete 
Zahlercode Zx als Referenzcode RZx gespeichert ist, weichen 
bei einer ordnungsgemafien Betatigung der Fernbedienung Fx 
Zahlercode Zx und Referenzcode RZx voneinander ab. Stimmen 
sie jedoch uberein, wird abgebrochen, Schritt 129. Fine 
Zugangsberechtigung erfolgt nicht. Andernfalls ermittelt das 
Basisgerat BG wie bereits fur das erste Ausfuhrungsbeispiel, 
die Sollresponse Sx, Schritt 131. Stimmen Response Rx und 
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Sollresponse Sx nicht uberein, Schritt 133, so wird 
abgebrochen, Schritt 135. Andernfalls wird die Berechtigung 
zur Einleitung eines Of f nungsvorgangs gegeben, Schritt 137. 

Als alternatives zweites Ausf uhrungsbeispiel wird der 
Zahlercode Zx in der Fernbedienung Fx verschlusselt . Zur 
Ermittlung des Ref erenzcodes RZx ist diese Verschlusselung 
adressiert im Basisgerat BG abzulegen. Fur den Zahlercode Zx 
ist nur von Bedeutung, da£ er sich mit jeder Betatigung der 
Fernbedienung fx verandert, ob durch eine Zahlerf unktion 
oder einen sonstigen Algorithmus , ist nicht wesentlich. 

Die beiden Ausf uhrungsbeispiele lassen sich auch dahingehend 
kombinieren, da£ beispielsweise im Ablauf gemaS Figur 4 die 
Abfrage nach Schritt 111 durchgefuhrt wird. Dadurch lifit 
sich die Sicherheit gegenuber unberechtigten 
Of f nungsversuchen weiter erhohen. 

Die nicht naher ausgefiihrte Challenge-Response-Prozedur 
erfolgt vorzugsweise niederf requent im Nahbereich des zu 
betretenden Raumes, beispielsweise ein Kraft fahrzeug . Der 
Sender 22 hingegen sendet ein hoherf requentes Signal, das 
eine groSere Reichweite zulaEt . Ein Empf anger im 
hoherfrequenten Bereich ist fur die Fernbedienung Fx nicht 
vorzusehen. Der Algorithmus zur Verschlusselung der 
Challenge Cx, urn die Response Rx zu erhalten, ist 
vorzugsweise so einfach auszufuhren, da£ dieser auch in 
einem Microcontroller implementiert werden kann. 
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Anspruche 

1. System zur Kontrolle der Zugangsberechtigung, 

- mit einem Basisgerat (BG) , das ein Codewort (CWx) 
empfangt, das eine Response (Rx) enthalt, die ein Rechner 
(16) mit einer Sollresponse (Sx) vergleicht, wobei eine 
Zugangsberechtigung bei Ubereinstimmen von Response (Rx) and 
Sollresponse (Sx) erfolgt, 

- mit zumindest einer Fernbedienung (Fl, ... Fx, ... Fn) , 
die das Codewort (CWx) sendet, dadurch gekennzeichnet , daS 
in der Fernbedienung (Fl, ... Fx, ... Fn) eine vom 
Basisgerat (BG) gesendete Challenge (Cx) gespeichert ist zur 
Generierung des Codewort s (CWx) . 

2. System nach Anspruch 1, dadurch gekennzeichnet, da* die 
Sollresponse (Sx) in Abhangigkeit von einer in der 

, , . /in py Fn) hinterlegten und im 

Fernbedienung (Fl, ... fx, ... 3 

Codewort (CWx) enthaltenen Kennung (Kl, - - . Kx, . . . Kn) 
gebildet ist. 

3 System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dafi die Challenge (Cx) in dem Basisgerat 

(BG) gespeichert ist. 

4 System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, da* die im Basisgerat (BG) hinterlegte 
Challenge (Cx) dann geloscht ist, wenn die Anzahl fehlender 



- 10 - 

R. 33075 



Ubereinstimmung von Response (Rx) und Sollresponse (Sx) 
einen vorgebbaren Grenzwert (G) ubersteigt. 

5. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, da£ im Codewort (CWx) ein Zahlercode (Zx) 
enthalten ist, der von dem Basisgerat (BG) mit einem 
Referenzcode (RZx) verglichen ist. 

6. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, da£ der Zahlercode (Zx) bei Betatigung eines 
Bedienelements (24) der Fernbedienung (F) , ... Fx, ... Fn) 
verandert ist . 

7. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafc als Referenzcode (RZx) ein gesendeter 
Zahlercode (Zx) verwendet ist. 

8. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafi der Zahlercode (Zx) verschliisselt in derr 
Codewort (CWx) enthalten ist. 

9. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafc die Ubertragung des Codeworts (CWx) 
hochfrequent und die Ubertragung der Challenge (Cx) 
niederf requent erf olgt . 
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System zur Kontr olle d er ZAiqanqsb eyechtiqunq 
Zusammenfassung 

Es wird ein System zur Kontrolle der Zugangsberechtigung 
vorgeschlagen. Es umfaSt ein Basisgerat (BG) , das ein 
Codewort (CWx) empfangt, das eine Response (Rx) enthalt. Ein 
Rechner (16) vergleicht die Response (Rx) mit einer 
Sollresponse (Sx) . Eine Zugangsberechtigung erfolgt bei 
Ubereinstimmen von Response (Rx) und Sollresponse (Sx) . Eine 
Fernbedienung (Fl, ... Fx, ... Fn) sendet das Codewort 
(CWx) . Das System zeichnet sich dadurch aus, da£ in der 
Fernbedienung (Fl, ... Fx, . . . Fn) eine vom Basigerat (BG) 
gesendete Challenge (Cx) gespeichert ist zur Generierung des 
Codewort s (CWx) . 
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Fig. 2 
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